iptablesでsyn flood対策をしましたが、携帯会社のIPがよく引っかかります。
iptablesの設定はほぼこちらを参照したものです。
http://qiita.com/suin/items/5c4e21fa284497782f71
以下、SYN_FLOOD抜粋
iptables -N SYN_FLOOD # "SYN_FLOOD" という名前でチェーンを作る
iptables -A SYN_FLOOD -p tcp --syn \
-m hashlimit \
--hashlimit 200/s \
--hashlimit-burst 3 \
--hashlimit-htable-expire 300000 \
--hashlimit-mode srcip \
--hashlimit-name t_SYN_FLOOD \
-j RETURN
iptables -A SYN_FLOOD -j LOG --log-prefix "syn_flood_attack: "
iptables -A SYN_FLOOD -j DROP
iptables -A INPUT -p tcp --syn -j SYN_FLOOD
それなりに外部からアクセスがあるWEBサイトで
このような設定を実施した場合、主に携帯会社のIPが引っかかってしまします。
そこでhashlimit-burstを10にしてみましたが、それでもいくらか引っかかりました。
引っかかったアクセスログを確認したところ、正常のURLへのアクセスをしているログが上がっているので、不正アクセスではないだろうと考えています。
ただ「携帯会社のIP」が目立つのは、携帯でのアクセスが多いだけの話かもしれません。
こういったケースで、
SYN FLOODの閾値が問題ないのかどうかどのように判断したらよいでしょうか?
携帯の接続不安定のために発生して問題ない範囲と考えられるのでしょうか?